安全是平的 ——2006用户关注的八大安全趋势

network

安全是平的 ——2006用户关注的八大安全趋势
在连续三期的专题中，记者和读者一起从网络的边界、内网、新型威胁、反击技术方面，探讨了安全的平坦化趋势。从读者的反馈来看，不少企业用户对于安全的层次、技术理解、以及部署经验都已经形成了清晰的认识，可以说，大家认可目前的安全挑战与应变之道。

有意思的是，美国《Network World》近期针对在马拉西亚首都吉隆坡举办的信息安全大会作了跟踪报道，期间不少与会人士认为，在安全平坦化的背景之下，很多企业呈现出了对安全的特殊考量----即要在网络基础设施的框架下，搭建适合自身业务发展的“安全构架”（SS，Security Schema）。

不要小看这种双S策略，要知道不论是在像埃森哲、IBM等从事IT安全审计的公司里，还是美国的赛班斯法案中，对于双S的要求都如影随形。

事实上，一些西方媒体已经针对双S策略，总结出了企业在信息安全环境下的若干关注点。不过遗憾的是，由于中西方市场、文化、企业发展的差异，很多趋势在中国不适用，有些甚至南辕北辙。

对此，记者特别参考了美国《Network World》中刊登的IDC、埃森哲、IBM做的安全评估，同时选择了国内银行业、保险业的典型用户，总结了中国企业用户在信息安全环境下的八大关注趋势。

需要指出的有两点：第一，之所以选择银行、保险作为典型用户，主要是因为他们的信息化程度较高，且对于信息安全有着透彻的了解；第二，用户关注的安全趋势并非一成不变，因此记者接受了保险公司CIO的建议，将本用户报告编辑成2006版本。在此，记者也欢迎更多的读者参与网站专题的讨论，以求在今后的版本中不断加以完善与补充。

趋势一：对信息安全的依赖度提高
对目前的企业来说，信息比以往更加重要，相应地，企业对其的依赖程度和维护力度，都更加不遗余力。

举例来看，美国亚马逊公司依靠信息去实现简单的在线营销，消费者可以通过网络购买书籍，其所要做的仅仅是点击鼠标，其余的都交给“在线点击购买系统”来实现。相似的，美国《Network World》报道，互联网零售商Pets.com的老板在公司业绩高涨的时候表示，对公司唯一有价值的，就是客户数据库，而他所做的所有涉及信息安全的投资，都是围绕该数据库而来。

事实上，信息对于企业实现安全的访问控制同样具有价值。比如企业中常见的，对用户的单点登陆和授权，以及法律与规章的强制执行等，这些都是通过信息处理来实现安全应用。据悉，美国政府目前正在使用信息数据去协助追踪犯罪和收集证据。

当然，这仅仅是美国的情况，中国的情况又有所不同。根据记者的调查，中国企业对于信息依赖和信息安全的投入都在增长，所不同的是，中国企业同样关注人的问题。

由于美国是一个信息化社会，各种信息高度发达，各种专业人才本身也不是稀缺资源，在此情况下，就会凸显出网络中信息资源的重要。但在中国，目前企业的人力资源还是相当值钱的。以保险行业为例，并非随便一个人都可以从事保险业的经营，因此很多中国企业所承认的、所关注的还是人。因此，人与信息是中国企业相当长时间内的核心价值，而对此形成的安全投入与关注，则会呈现两个方面的因素：一方面，越来越丰富的安全基础架构；另一方面，覆盖企业所有人员的身份认证、行为监控、内部网安全管理以及相应的安全授权，这些都会比美国企业来的复杂与长期。

此外，很多中国企业交往之间，往往也强调人员的联系。举例来说，Pets.com可以把所有员工辞退，只要客户资料在，就可以重新招聘人员开展经营。但在中国这么做根本行不通。事实上，一些国外的IT公司仅仅因为对国内企业的大客户经理发生改变，就可能引发痛失大单的情况。因此，人与信息的安全，将是中国企业长期关注的问题。

趋势二：网络架构成为企业安全核心
无论是从美国的经验看，还是从中国企业的现状出发，网络都已经成为了企业最关键的基础架构。根据美国《Network World》的调查，超过八成的企业IT经理人认为，越来越多的业务应用被设计成基于Internet的模式，或者说没有什么核心业务系统不能被移植到Internet上去。

当然，随着网络架构扮演的角色越发重要，网络架构的安全与连续运行已经成为了企业经营不可户缺的必要条件。换句话说，Internet帮助企业与企业之间、员工与员工之间进行简单和有效的沟通，但是这里面也存在真实的经济风险。一旦网络中断了，或者仅仅一部分网络出现了业务连续性危机，都会对企业经营造成影响。

对此，中国的金融机构用户似乎更加担心。新华人寿的IT经理向记者表示，网络架构已经成为企业安全的核心，任何一个IT经理都无法忽视。

不过，网络安全的角色在中国并非绝对导向型，事实上更多的企业似乎在做着某种选择。中国工商银行网络中心的负责人向记者透露，从评价企业的重要因素和核心价值方面来看，IT已经成为核心价值的一部分，就好比一根神经，对此CEO也是认可的。但在中国市场中，由于企业的经营时间较短，因此CEO或者董事会对待安全的问题，都是需要和业务来做平衡，因此有些时候无法与国外的做法相比。

事情也有好的一面。根据中国保监会的统计，在经营时间超过10年的保险公司里面，对于安全和IT技术的投入已经从每年占全部投入比例的5%，上升到20%。保监会的结论是，越来越多的CEO已经注意到网络设施的安全性会对企业业务造成较大影响，如果他们不增加投入，这条神经系统就会变慢或者成为瓶颈，因此需要把资源向安全倾斜。另外，一切的服务和管理，都需要以安全的网络环境为基础，否则永续经营的理念就无法实现。

趋势三：用户丧失了对信息的完整控制
这是一个值得担忧却又无可奈何的问题，越来越多的美国和中国用户表示，他们无法掌控他们自己的信息。从美国的例子看，ISP控制了Web站点的访问记录，但是旗下用户访问和收发E-Mail信息却无法监控。当然，一些移动运营商在他们的服务器上保存了一部分用户的电话本，但也是仅此而已。

记者认为，美国人对于信息的掌控趋于变态，他们喜欢研究细枝末节，这也许与其环境有关。不过回到中国，同样的隐患更加棘手：因为很多企业在业务信息上也无法掌控！

“这里有很多有价值的信息，甚至是非常高的私人信息，但是你却不能控制这些信息的安全，事实上没有比这更糟糕的了。”中国平安保险公司的一位IT经理如是说。

对此，中国的IT经理们是这么看的：控制所有的信息是不可能的，中国做不到，阻力主要来自于人。举例来看，按照国外先进的管理经验，销售渠道获取的外部信息，公司需要把信息流在企业内部。那么当业务人员去拜访客户，即使没有达成协议，相关的信息也要进入公司的准客户管理系统中去。

不少中国的金融机构已经开发了自己的准客户管理系统。但问题是，没有办法实施，原因在于这部分系统不属于公司主要业务流程的一部分，因此不能把这些信息强行从业务人员手中拿过来，业务人员也不接受这种做法。

国外的做法是，员工每天使用笔记本或者PDA，去对应当天的活动管理，从而把每天的工作在上面表现出来，每天晚上在与公司做连接的时候，这些信息会自动回灌到公司的数据库中去，这样就可以把公司的信息保留下来。目前很多中国企业的业务人员不会使用这些技术，或者企业出于成本考虑，不愿意购买这些东西，因此造成了业务信息也无法完全掌控。要知道，这些零碎的信息不仅代表了企业的潜在损失，更是造成了企业的安全隐患，因为企业无法利用信息系统去控制每一个员工的行为。

趋势四：黑客与内贼威胁企业生存
以前提到黑客，大多数人脑子里想象的都是一个才华横溢的青少年。但目前情况有变化，根据国际刑警组织公布的2005年官方记录，目前越来越多的黑客成为犯罪的专家，而且跨国犯罪此起彼伏。

黑客已经告别了基于兴趣的攻击行为，越来越多的攻击呈现组织化特征，攻击的类型也越来越多，并且被以牟利为目的的罪犯所领导。

在黑客袭击面前，金融机构是重灾区。据统计，针对金融机构的拒绝服务攻击和钓鱼攻击都与敲诈和勒索有关联。另外，很多金融机构中都出现过内贼现象：某些员工故意或者无意地给攻击者创造了条件，允许他们去渗透企业的IT系统。

从国内的情况看，一些保险公司的情况不容乐观，甚至在互联网上传出了保险公司业务员资料、客户资料和两者对应顺序的数据库。当企业的机密信息变得可以协商与讨价还价的时候，安全防范就已经很难了。

幸运的是，国内金融机构IT人员的水平较为有限，因此真正恐怖的大师级内贼还没有出现，不过已经有不少金融机构开始部署全网安全方案，至少可以大大减缓内贼的影响。

趋势五：系统复杂度是最大的安全敌人
在本次吉隆坡安全大会的报告中，首次以官方文件的形式提出了：企业需要严格控制系统复杂度的观点。美国《Network World》对经营时间超过10年的企业展开了调查，其中几乎所有的IT经理都表示：复杂是一种敌人。

因为系统越复杂，那么它就越缺乏安全。有意思的是，很多安全厂商的专家表示，Internet是目前最复杂的机器。事实上，更高的安全技术也不能保持与互联网增长的同步：安全是变得更好了，但是复杂度也变得越来越糟糕。

对此，很多中国经营期超过10年的企业同样面临两难的困境。新华人寿的IT经理向记者表示，这种情况相当普遍且难以解决。举例来看，一家大企业的业务系统由于功能复杂，势必涉及到众多的模块。那么在各个模块运作的时候，就需要多重的身份认证方法，这在目前的企业中很常见。对很多中国企业来说，实现单点登陆（Single Sign On）还仅仅是一个远景目标，因此实际的解决方式就失利用一级认证配合辅助认证的手法。

比如进入某一个模块，都要进行相关的一级认证，同时还要加入辅助认证，才可能登陆到模块功能中去。这不仅仅是账户名、密码的问题，像USB KEY、短信都有使用。在一些金融机构中，甚至还在网络上对某台机器定制安全IP来登陆特定服务器，以及通过某台交换机的某个特定端口来保证安全。

类似的做法有很多，这些方案都需要复杂的手段，且仍然会有漏洞。因此，一些国内企业的IT经理提醒说，企业安全不要趋于极端，最好还是在中间找结合点，一方面追求性价比，另一方面可以平衡复杂度与安全的关系，在公司承受能力之上选择比较好的模式。

趋势六：端点成为最弱的部分
端点安全一向是企业的老大难问题，不论是国内国外都如此。有心的读者可能还记得，在IDC今年6月份公布的国内安全市场报告中，端点安全控制已经成为潜力股。事实上，这非常好理解，因为不论企业的认证架构有多强壮，如果远程电脑不可信赖的话，一样会出现问题。

在很多案例中，企业外部的电脑都是信息安全最弱的连接点。这些电脑经常被蠕虫和间谍软件感染，并且等待时机发起攻击。令人担心的是，目前大量的蠕虫攻击来自于端点。特别是当前的蠕虫变得比以往更加诡诈。他们甚至自身就包含了系统弱点评估工具，并且可以检查企业的防御机制以及使用搜索引擎来搜集企业信息。这个趋势造成了更多的端点系统成为犯罪的一部分。

从国内的情况看，给人的感觉更加不妙。太平洋保险公司的IT经理对记者表示，困扰端点安全的原因，大方向是互联网的特征：简单、易用、开放。在这个条件下，企业如果做成严格、标准的安全模式，势必会给操作端造成巨大的成本与复杂度。

而中国工商银行网络中心的负责人认为，从安全是一个系统性的活塞，既要打开，又要关闭。换句话说，企业安全是一种半开关系，当一个技术不可以控制的时候，企业大多规避。比如银行中互联网与业务网络物理隔离，柜台上的机器不能上互联网。物理隔离就要做两套网络，两个网络并行，之间不能连接，所有业务不与办公系统发生联系。

因此在端点的问题上，保守的办法就是将期至于企业办公网络中，生产网络之外。不过两套网络对企业的投入和维护要求很高，不少企业无法实现，因此端点安全仍将在相当长的时期内存在。

趋势七：用户也是威胁的一部分
终端用户也被看成是威胁，听起来有点匪夷所思，但很多企业都是这么做的。从美国的情况看，很多公司都在开发软件，为的就是防御这些终端用户。早先SONY的数字授权管理（DRM）软件就是一个案例。越来越多的看上去很安全的系统，都不是用来保护这些用户，而是用来反击这些用户的。

与美国情况稍显不同的是，国内企业将用户的概念作了扩展，不仅局限于最终消费用户，而且还要包括企业的内部员工用户。新华人寿的IT经理指出，中国企业由于人为因素造成的风险比例还是很高的，因此内部用户既是受保护的一部分，又是威胁企业的一部分。

换句话说，一个员工正常工作的时候，IT部门需要保护他；但是一些员工受到挫折，可能刻意去寻找方法或者漏洞，去做一些违规事情。比如一个前台操作员离开保险公司，临走之前从系统内打印出业务员清单、保单清单，然后带走。这无疑给公司造成了数据安全的因患。IT部门可以限制使用USB拷贝、软盘拷贝，但是例行公事的打印却无法阻止。同样的道理，如果IT经理想干坏事，谁也无法保证数据不被拦住。

在国外，企业人员强调职业道德，一旦出现上述安全事件，相关人员会在行业内遭到封杀。从国内的管理来看，对用户安全管理主要还是落实到人的思想道德管理上来。当然，技术限制也是并存的手段。

趋势八：安全审计重要性提升
新的规则将导致安全审计提上日程。正如美国推出的赛班斯法案一样，将会强迫企业进行安全审计。事实上，虽然国内金融机构接二连三地上市，但真正考虑过赛班斯法案的却几乎没有。不过由于业务发展的需要，聘请第三方机构进行IT安全审计的已经成为趋势。

以新华保险集团为例，他们就曾经聘请艾森哲和IBM进行专门的安全审计与网络审计。据介绍，目前企业IT安全审计的重点还是在于对存在的安全隐患重新评估。事实上，与国外审计中对一些细节的关注，如补丁管理、蠕虫控制等，国内的安全审计还远未涉及，主要原因在于国内企业的大的安全漏洞太多，以至于企业还无暇顾及安全的细节问题。

从国内金融机构披露的审计信息来看，主要问题集中在：第一，互联网接入中内网外网的物理连通性，被认为是安全度不够；第二，企业PC上安装的软件，加以控制的力度不够，容易引发病毒或者攻击的可能性；第三，安全配套管理的政策与制度有漏洞，不够完善；第四，整个网络的整体管理还欠规范化。

比如，总公司的总网管，无法一眼看到底。目前很多企业还存在不兼容的设备，而一些可管理的设备表现出来的状态也不正常。甚至一些金融机构还在使用HUB或者交换机集联的方式，造成了很大的安全隐患。另外，由于攻击的速度比补丁推出要快，因此新的弱点被频频发现，即便是一些嵌入式系统中，比如Cisco路由器，还没有被打补丁，仍然留下了企业的安全漏洞。

据悉，中国工商银行清河网络中心目前是国内金融机构中，安全管理最为到位的一家。他们作为中国工商银行的北方数据中心，其网络监控中心已经可以看清网络中的所有设备，包括定位到某一台二层交换机的某个端口，这实在是了不起的成就。